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(57) Abstract: The invention relates to a method for managing a set of alarms emitted by intrusion detecting sensors (11a, lib, 
1 lc) of an information security system (1) comprising an alarm managing system (13), wherein each alarm is identified by an alarm 
identifier and an alarm content consisting in assigning a description comprising a conjunction of a plurality of valued attributes 
allocated to a plurality of attribute ranges to each alarm emitted by said intrusion detecting sensors (11a, lib, 11c), organising 
the valued attributes allocated to each attribute range into a taxonomic structure defining generalisation ratios between said valued 
attributes and the plurality of attribute ranges forming the structure of taxonomic structures, completing the description of each said 
alarm by a set of values induced by the taxonomic structures from the valued attribute of said alarms in order to form completed 
alarms and in storing said completed alarms in a logic files (21) in such a way that it is possible to reference thereon. 
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(57) Abrege : L'invention concerne un procede de gestion d'un ensemble d'alertes issues de sondes de detection d'intrusions (11a, 
lib, 11c) d'un systeme de securite d'informations (1) comportant un systeme de gestion d'alertes (13), chaque alerte etant definie 
par un identifiant d'alerte et un contenu d'alerte, le procede comportant les etapes suivantes -associer a chacune des alertes issues 
des sondes de detection d'intrusions (11a, lib, 11c), une description comportant une conjonction d'une pluralite d'attributs values 
appartenant a une pluralite de domaines d'attributs ; -organiser les attributs values appartenant a chaque domaine d'attributs en une 
structure taxinomique definissant des relations de generalisation entre lesdits attributs values, la pluralite des domaines d'attributs 
formant ainsi une pluralite de structures taxinomiques ; -completer la description de chacune desdites alertes par des ensembles 
de valeurs induites par les structures taxinomiques a partir des attributs values desdites alertes pour former des alertes completes ; 
-stocker lesdites alertes completes dans un systeme de flchiers logique (21) pour en permettre la consultation. 
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Titre de I'invention 

Procede de gestion dim ensemble d'alertes issues de sondes de detection 
d'intrusions d'un systeme de securite d'informations. 

5 

Arriere-plan de I'invention 

L f invention concerne un procede de gestion d'un ensemble 
d'alertes issues de sondes de detection d'intrusions. 

La securite des systemes d'information passe par le 
10 deploiement de systemes de detection d'intrusions « IDS » comportant 
des sondes de detection d'intrusions qui emettent des alertes vers des 
systemes de gestion d'alertes. 

En effet, les sondes de detection d'intrusions sont des 
composants actifs du systeme de detection d'intrusions qui analysent une 
15 ou plusieurs sources de donnees a la recherche d'evenements 
caracteristiques d'une activite intrusive et emettent des alertes vers les 
systemes de gestion d'alertes. Un systeme de gestion des alertes 
centralise les alertes provenant des sondes et effectue eventuellement une 
analyse de I'ensemble de ces alertes. 
20 Les sondes de detection d'intrusions generent un tres grand 

nombre d'alertes qui peut comprendre plusieurs milliers par jour en 
fonction des configurations et de I'environnement. 

L'exces d'alertes peut resulter d'une combinaison de plusieurs 
phenomenes. Tout d'abord, de fausses alertes represented jusqu'a 90% 
25 du nombre total d'alertes. Ensuite, les alertes sont souvent trap 
granulaires, c'est-a-dire que leur contenu semantique est tres pauvre. 
Enfin les alertes sont souvent redondantes et recurrentes. 

Ainsi, l'exces d'alertes rend leur comprehension et leur 
manipulation difficile par un operateur de securite humain. 
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Le traitement amont des alettes au niveau du systeme de 
gestion est done necessaire pour faciliter le travail d'analyse de I'operateur 
de securite. 

Les systemes de gestion d'alertes actuels consistent a stacker 
5 les alertes dans un systeme de gestion de bases de donnees relationnelles 
(SGBDR). L'operateur de securite peut ainsi interroger ce systeme de 
gestion SGBDR en lui soumettant une requete portant sur les proprieties 
des alertes. Le systeme de gestion SGBDR fournit en retour a l'operateur, 
I'ensemble des alertes dont la description satisfait la requete. 
10 L'inconvenient de ces systemes est le fait que les alertes 

fournies a I'operateur peuvent §tre nombreuses et granulaires, ce qui rend 
leur analyse fastidieuse. 

Obiet et resume de I'invention 

15 L'invention a pour but de remedier a ces inconvenients, et de 

fournir une methode simple de gestion d'un ensemble d'alertes issues de 
sondes de detection d'intrusions pour permettre une consultation flexible, 
aisee et rapide de cet ensemble d'alertes. 

Ces buts sont atteints gr§ce a un procede de gestion d'un 

20 ensemble d'alertes issues de sondes de detection d'intrusions d'un 
systeme de securite d'informations comportant un systeme de gestion 
d'alertes, chaque alerte etant definie par un identifiant d'alerte et un 
contenu d'alerte, caracterise en ce qu'il comporte les etapes suivantes : 
-associer a chacune des alertes issues des sondes de detection 

25 d'intrusions, une description comportant une conjonction d'une pluralite 
d'attributs values appartenant a une pluralite de domaines d'attributs ; 
-organiser les attributs values appartenant a chaque domaine d'attribut en 
une structure taxinomique definissant des relations de generalisation entre 
lesdits attributs values, la pluralite des domaines d'attributs formant ainsi 

30 une pluralite de structures taxinomiques ; 
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-completer ia description de chacune desdites alertes par des ensembles 
de valeurs induites par les structures taxinomiques a partir des attributs 
values desdites alertes pour former des alertes completes ; 
-stacker lesdites alertes completes dans un systeme de fichiers logique 
5 pour en permettre la consultation. 

Ainsi, le stockage des alertes completes dans un systeme de 
fichiers logique permet a un operateur de securite de consulter le systeme 
de gestion d'alertes d'une maniere efficace, rapide, et flexible afin 
d'obtenir une vision precise de I'ensemble des alertes issues des sondes 

1 0 de detection d'intrusions. 

La consultation des alertes completes peut etre realisee par une 
succession dlnterrogations et/ou de navigations dans lesdites alertes 
completes de sorte qu'en reponse a une requete, le systeme de gestion 
d'alertes fournit des attributs values pertinents permettant de distinguer 

15 un sous-ensemble d'alertes completes parmi un ensemble d'alertes 
completes satisfaisant la requete afin de permettre le raffinement de ladite 
requete. 

De preference, les attributs values pertinents sont en priorite 
les plus generaux en regard de la pluralite des structures taxinomiques. 
20 Avantageusement, en reponse a la requite, le systeme de 

gestion d'alertes fournit en outre des identifiants d'alertes satisfaisant la 
requete et dont la description ne peut pas etre raffinee par rapport a 
ladite requete. 

L'identifiant d'alerte est un couple forme d'un identifiant de la 
25 sonde de detection d'intrusions qui produit I'alerte et d'un numero de serie 
d'alerte affecte par ladite sonde. 

Le contenu de chaque alerte comporte un message textuel 
fourni par la sonde de detection d'intrusions correspondante. 

Chaque attribut value comporte un identifiant d'attribut et une 
30 valeur d'attribut. 
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Selon un aspect de l'invention, chaque identifiant d'attribut est 
associe a un domaine d'attributs parmi les domaines suivants : domaine 
de I'attaque, domaine de I'identite de I'attaquant, domaine de I'identite de 
la victime et domaine de la date de I'attaque. 
5 Avantageusement, la description d'une alerte donnee est 

completee en recuperant a partir des relations de generalisation de la 
pluralite de structures taxinomiques et de maniere recursive, un ensemble 
comportant les attributs values plus generaux et n'ayant pas deja ete 
presents dans la description d'une autre alerte precedemment completee. 
10 Selon un aspect particulier de I'invention, les attributs values 

dans la structure taxinomique sont organises selon un graphe acyclique 
dirige. 

L'invention vise aussi un programme informatique concu pour 
mettre en ceuvre le procede ci-dessus, lorsqu'il est execute par le systeme 
15 de gestion d'alertes. 

Breve description des dessins 

D'autres particularites et avantages de l'invention ressortiront a 
la lecture de la description faite, ci-apres, a titre indicatif mais non 
20 limitatif, en reference aux dessins annexes, sur lesquels : 

-la figure 1 est une vue tres schematique d'un systeme de 
securite d'informations comportant un systeme de gestion d'alertes selon 
l'invention ; 

-la figure 2 est un organigramme illustrant les etapes du 
25 procede de gestion d'un ensemble d'alertes, selon I'invention ; 

-la figure 3A illustre un exemple d'une documentation associee 
a des signatures d'attaques ; et 

-la figure 3B montre de fagon tres schematique une structure 
taxinomique associee a I'exemple de la figure 3A. 



30 
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Description detaillee de modes de realisation 

La figure 1 illustre un exemple d'un systeme de detection 
d'intrusions 1 relie a travers un routeur 3 a un reseau externe 5 et a un 
reseau interne 7a et 7b a architecture distribute. 
5 Le systeme de detection d'intrusions 1 comporte plusieurs 

sondes de detection d'intrusions 11a, lib, 11c, et un systeme de gestion 
d'alertes 13. Ainsi, une premiere sonde 11a de detection d'intrusions 
surveille les alertes venant de I'exterieur, une deuxieme sonde lib 
surveille une partie du reseau interne 7a comprenant des stations de 
10 travail 15 et une troisieme sonde 11c surveille une autre partie du reseau 
interne 7b comprenant des serveurs 17 delivrant des informations au 
reseau externe 5. 

Le systeme de gestion d'alertes 13 comporte un note 19 dedie 
au traitement des alertes, un systeme de fichiers logique 21, et une unite 
15 de sortie 23. 

Le systeme de fichiers logique peut etre du type « LISFS » 
propose par Padioleau et Ridoux, dans une conference (Usenix Annual 
Technical Conference 2003) intitulee "A Logic File System". 

Dans le systeme de fichiers logique LISFS, les fichiers sont des 
20 objets auxquels sont associees des descriptions, exprimees dans une 
logique propositionnelle. La description d'un fichier est une conjonction de 
proprietes. 

Les proprietes des fichiers sont les repertoires du systeme de 
fichiers, si bien que le chemin d'un fichier est sa description. Un chemin 
25 est done une formule logique. Un emplacement du systeme de fichiers 
contient I'ensemble des fichiers dont la description satisfait la formule 
correspondant au chemin de ('emplacement. 

Comme dans un systeme de fichiers classique, des commandes 

specifiques permettent de naviguer et manipuler les fichiers et leurs 

30 descriptions. 

Ainsi, les sondes 11a, lib, 11c deployees dans le systeme de 

detection d'intrusions 1 envoient (fleches 26) leurs alertes 25 au systeme 
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de gestion d'alertes 13. Ce dernier, conformement a I'invention, procede a 
une gestion de cet ensemble d'alertes et a son stockage dans le systeme 
de fichiers logique 21 pour en permettre la consultation a travers 1'unite de 
sortie 23 d'une maniere flexible. 
5 En effet, I'hote 19 du systeme de gestion d'alertes 13 comprend 

des moyens de traitements pour proceder a cette gestion des alertes. 

Ainsi, un programme informatique congu pour mettre en oeuvre 
la presente invention peut etre execute par le systeme de gestion 
d'alertes. 

10 La figure 2 est un organigramme illustrant les etapes du 

procede de gestion d'un ensemble O d'alertes issues de sondes de 

detection d'intrusions selon I'invention. 

Chaque alerte o de cet ensemble O d'alertes est definie par un 

identifiant d'alerte et un contenu d'alerte. 
15 En effet, une alerte oe O peut etre definie par un identifiant 

d'alertes unique id(o) donne par un couple (s,n) ou s est Hdentifiant de 
serie de la sonde de detection d'intrusions qui produit I'alerte et n est un 
numero de serie d'alerte affecte par cette sonde a I'alerte o . 

Le contenu m 0 de I'alerte o comporte un message textuel 

20 fourni par la sonde de detection d'intrusions qui a produit I'alerte et qui est 
destine a I'operateur de securite. 

L'etape El consiste a associer a chacune des alertes issues des 
sondes de detection d'intrusions 11a, lib, 11c, une description d{o) 
comportant une conjonction d'une pluralite d'attributs values {d oi j 
25 appartenant a une pluralite ou un ensemble de domaines d'attributs {A}. 

Ainsi, une description d{o) d'une alerte est une conjonction de 
p attributs values, c'est-a-dire d(p)=d ol a---a d op . 
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Un attribut value d o4 est un couple («,v) comportant un 

identifiant d'attrlbut a et une valeur d'attribut v . 

Chaque identifiant d'attribut a est associe a un domaine 
d'attribut A parmi les domaines suivants : domaine de I'attaque, domaine 
5 de I'identite de I'attaquant, domaine de I'identite de la victime et domaine 
de la date de I'attaque. 

D'une maniere generate, un domaine d'attribut A est forme 
d'un ensemble discret muni d'une relation d'ordre partiel < A definissant le 

domaine de I'attribut value d oi . 

10 L'etape E2 consiste a organiser les attributs values d oi 

appartenant a chaque domaine d'attribut A en une structure taxinomique 
definissant des relations de generalisation (ou specialisation) entre ces 
attributs values. II existe une taxinomie par domaine d'attribut. Ainsi, la 
pluralite des domaines d'attributs forme une pluralite de structures 

1 5 taxinomiques. 

La structure taxinomique des attributs values est de maniere 
generique un graphe acydique dirige. 

Les relations taxinomiques sont modelisees par des axiomes. 
Ainsi, un attribut value d plus specifique qu'un autre attribut value d' est 

20 modelise par un axiome d \- d\ c'est-a-dire que I'attribut value d' est une 
consequence logique de I'attribut value d . Autrement dit, une alerte qui 
possede I'attribut value specifique d possede automatiquement I'attribut 
value moins specifique d' . 

L'etape E3 consiste a completer la description de chacune des 

25 alettes issues des sondes de detection d'intrusions 11a, lib, 11c, par des 
ensembles de valeurs induites par les structures taxinomiques, a partir des 
attributs values de ces alertes initiales, pour former des alertes completes. 

En effet, les attributs values des alertes produites par les 
sondes de detection d'intrusions sont les plus specifiques des taxinomies. 
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Ainsi, a la reception d'une alerte donnee, le systeme de gestion 

d'alertes 13 peut par exemple completer la description de cette alerte en 

recuperant a partir des relations de generalisation de la pluralite de 

structures taxinomiques et de maniere recursive, un ensemble comportant 

5 les attributs values plus g^neraux et n'ayant pas deja ete presents dans la 

description d'une autre alerte precedemment completee. 

Autrement dit, la description d'une alerte donnee est completee 

par un processus qui consiste a remonter dans une taxinomie donnee a 

partir d'un attribut value donne. Si un attribut value existe deja dans la 

10 description d'une autre alerte precedemment traitee, alors le processus de 

remontee s'arr§te, sinon il est ajoute et le processus est reitere a partir de 

cet attribut value ajoute. 

Ci-dessous est un exemple d'un algorithme 

« CompleterDescription » decrivant un processus pour completer la 

15 description d'une alerte. 

CompleterDescription 
s'il n'existe pas d o i faire 

J> = R*:d 0 ,i |= d' 0>i } 

pour chaque d' oi <= D faire 

20 Comp/eterDescription{d' oi ) 

fait 

mkdird' oA f~-ld' 0>n 

fait 

25 Cet algorithme teste tout d'abord I'existence d'un attribut value 

donne d OJ . Si cet attribut d OJ n'existe pas, on recupere I'ensemble 

D = {d' oJ : d o i |= d' OJ } des attributs values qui sont plus abstraits au regard 

des taxinomies. Ensuite pour chaque element d 0>i appartenant a D, 

I'algorithme CompleterDescription est appele recursivement. A la fin, 
30 I'attribut value est ajoute au systeme de gestion d'alertes par la 
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commande « mkdir» qui fait partie des commandes du systeme de 
fichiers logique LISFS. 

Finalement I'etape E4 de la figure 2, consiste a stocker les 
alertes, qui ont ete completees a I'etape precedente, dans le systeme de 
5 fichiers logique 21 pour en permettre la consultation. 

Ci-dessous est un exemple d'un algorithme « StockerAlerte » 

decrivant un processus pour stocker une nouvelle alerte dans un systeme 

de fichiers logique du type LISFS. 

StockerAlerte 
10 Pour chaque d o i f aire 

CompleterDescriptiorf^ d oi ) 

fait 

cp m 0 d 0>l /--/d 0>n /a 

15 Cet algorithme complete de maniere iterative pour chaque 

element de description d o i , une alerte donnee o en appelant I'algorithme 

« CompleterDescription » decrit ci-dessus. 

Lorsque tous les elements de description de I'alerte donnee 
sont completes, alors I'alerte complete et son contenu sont stockes par 
20 une commande de stockage « cp », qui prend en parametre le contenu de 
I'alerte m ol la description de I'alerte d 0>x l---l d 0 , n et I'identifiant de I'alerte 

a . 

Le stockage des alertes completes dans le systeme de fichiers 
logique 21 permet leur consultation par une succession d'interrogations 
25 et/ou de navigations dans I'ensemble des alertes completes. 

Ainsi, en reponse a une requete d'un operateur de securite, le 
systeme de gestion d'alertes 13 fournit des attributs values pertinents 
permettant de distinguer un sous-ensemble d'alertes completes parmi un 
ensemble d'alertes completes satisfaisant la requete afin de permettre le 
30 raffinement de cette requete. 
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Une requete de I'operateur de securite est une formule logique 
f, qui combine des conjugaisons a, des disjonctions v 7 et des negations 
-i d'attributs values. 

D'une maniere generate, la description d(o) d'une alerte o 
5 satisfait une requete f, si la requete / est une consequence logique de la 
description d(o). L'ensemble des alertes satisfaisant la requete f , appele 
^extension de /, estainsi donne par ext(f) = {o e O :d(o)\= /}. 

L'ensemble A des attributs values pertinents est l'ensemble des 
attributs values appartenant a des domaines d'attributs values A, tel que 
10 pour tout attribut value pertinent p de A, l'ensemble d'alertes completes 
satisfaisant la conjonction de la requete courante / avec I'attribut value 
pertinent p est contenu strictement dans l'ensemble d'alertes completes 
satisfaisant la requete courante / . Ainsi, cet ensemble A des attributs 

values pertinents qui permettent de distinguer des alertes entre elles, peut 
15 etre defini de la fagon suivante : 

A — {pe A\<p<z. ext(f Ap)a ext(f ) }. 

L'ensemble A peut etre considere comme un ensemble des 
liens de navigation, en definissant chaque attribut value pertinent p 
comme un lien de navigation. L'operateur de securite peut ainsi raffiner sa 

20 requete courante / en choisissant un lien de navigation pe A fourni par 
le systeme de gestion d'alertes 13. La requete courante / de I'operateur 
de securite se transforme ainsi en la nouvelle requete / a p . 

Avantageusement, pour reduire encore plus le nombre de 
reponses, le systeme de gestion d'alertes 13 fournit, en priorite, les 

25 attributs values pertinents les plus generaux en regard de la pluralite de 
structures taxinomiques. 



WO 2005/060205 



11 



PCT/FR2004/003252 



L'ensemble A msK des attributs values pertinents les plus 
generaux est alors donne par l'ensemble max| = (^) qui peut etre defini de 

la facon suivante : 

max| = (v4)= {pe A : il n'existe pas p'e A,p'* p,p\= p' }■ 

5 Ainsi, cet ensemble max| = (,4), est l'ensemble de tout attribut value 
pertinent p de A qui n'a pas un attribut value plus general. 

En outre, en reponse a la requete courante /, le systeme de 
gestion d'alertes fournit un ensemble O d'identifiants d'alertes dont la 
description satisfait la requete courante / et ne pouvant pas etre raffinee, 

10 c'est-a-dire decrite plus precisement, par rapport a cette requete /. Ainsi, 
l'ensemble O des identifiants d'alertes comporte tout identifiant d'alerte 
dont la description satisfait la requete courante / et telle qu'il n'existe 
aucun attribut value pertinent p tel que la conjonction de / et de p soit 
satisfaite par la description de cette meme alerte. Ainsi, cet ensemble O 

15 peut etre defini de la facon suivante : 

0= {id{p) :oe G, d{o)\= f , et il n'existe pas p<a A avec d{o)\= f a p }. 

On notera que le systeme de fichiers logique 21 tel que LISFS 
offre des commandes permettant de naviguer (commande « cd »), 
interroger (commande « Is »), et stocker (commandes « cp » et mkdir ») 
20 des objets. 

Par exemple, dans LISFS, une requete permettant d'obtenir les 
alettes dont la victime est un proxy web et dont I'attaquant n'est pas 
interne s'exprime de la fagon suivante : 

Is / "victime web proxy"/! "attaquant interne". 
25 D'une maniere generate, une alerte provenant d'une sonde de 

detection d'intrusions est un quadruplet d'attributs values. Les quatre 
attributs envisages sont : attaque, attaquant, victime, etdate. 
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Le domaine de I'attribut value « attaque » est constitue des 
identifiants de signatures d'attaques contenus dans les alertes generees 
par les sondes de detection d'intrusions 11a, lib, 11c. 

Le domaine de I'attribut value d'attaque comporte aussi les 
5 vulnerabilites eventuellement exploitees par une attaque. Les 
vulnerabilites sont plus abstraites, c'est-a-dire plus generates, que les 
identifiants d'attaques. 

Les autres valeurs utilisees pour qualifier les attaques sont 
issues des mots cles employes pour qualifier les attaques dans une 
10 documentation des sondes de detection d'intrusions 11a, lib, 11c. 

A titre d'exemple, on peut utiliser la sonde Snortl™ et le champ 
« msg» de la documentation des signatures. 

En effet, la figure 3A illustre un exemple de documentation 
associee aux signatures d'attaques. 
15 La colonne 31 du tableau 33 comporte des nombres entiers 

designant les signatures d'attaques. La colonne 35 du tableau 33 
comporte les documentations associees a ces signatures d'attaques. Ainsi, 
dans chaque ligne du tableau 33, une documentation est associee a 
chaque signature d'attaque. Chaque description comporte des mots cles 
20 relatifs par exemple au type d'attaque, au protocole reseau utilise, et au 
succes ou a I'echec de I'attaque. 

La figure 3B montre une structure taxinomique 37 definissant - 
des relations de generalisation 39 entre les attributs values contenus dans 
le tableau 33. Cette structure taxinomique 37 est organisee selon des 
25 connaissances expertes, a partir des mots cles de la documentation des 
signatures du tableau 33. On notera que, les signatures d'attaques 31 
constituent les attributs values les plus specifiques. 

Le domaine de I'attribut value « attaquants » comporte des 
adresses IP. Les adresses IP externes sont generalisables par le nom de 
30 I'organisme proprietaire de la plage d'adresses IP a laquelle appartient 



WO 2005/060205 



13 



PCT/FR2004/003252 



I'adresse. Le nom de I'organisme correspond au champ « netname » 
contenu dans des bases de donnees de I'organisme IANA™, qui gere 
I'attribution d'adresses IP. 

Les adresses IP internes et les adresses IP privees (non 
5 routables), sont generalisables en identifiants de reseaux locaux definis 
par un administrateur du systeme de detection d'intrusions 1. 

Enfin les noms des organismes sont generalisables en la valeur 
« ext» et les identifiants des reseaux locaux sont generalisables en la 
valeur « int ». 

10 Le domaine de I'attribut value «victime» comporte des 

adresses IP. Ces adresses IP des victimes peuvent etre generalisees en 
I'adresse du reseau local correspondant. 

Ces adresses IP peuvent aussi etre generalisees en noms de 
machines, obtenus par des mecanismes de resolution de noms. Les noms 

15 de machines peuvent etre generalises en « fonctions» d'hotes (par 
exemple serveur web), definis par I'administrateur du site. Les noms de 
machines sont generalisables en identifiants de reseaux locaux definis par 
I'administrateur du reseau (par exemple DMZ). 

Le domaine de I'attribut value « date » comporte I'horodatage 

20 des alertes au format JJ-MM-AAAA hh:mm:ss. Les dates sont generalisees 
successivement en minutes, heure, jour, et mois dans I'annee. Ces 
generalisations correspondent finalement a des abstractions de plus en 
plus grossieres de la date d'une attaque. 

25 



30 
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Revendications 

1. Procede de gestion d'un ensemble d'alertes issues de sondes de 
detection d'intrusions (11a, lib, 11c) d'un systeme de securite 

5 d'informations (1) comportant un systeme de gestion d'alertes (13), 
chaque alerte etant definie par un identifiant d'alerte et un contenu 
d'alerte, caracterise en ce qull comporte les etapes suivantes : 
-associer a chacune des alertes issues des sondes de detection 
d'intrusions (11a, lib, 11c), une description comportant une conjonction 
10 d'une pluralite d'attributs values appartenant a une pluralite de domaines 
d'attributs ; 

-organiser les attributs values appartenant a chaque domaine d'attributs 
en une structure taxinomique definissant des relations de generalisation 
entre lesdits attributs values, la pluralite des domaines d'attributs formant 

15 ainsi une pluralite de structures taxinomiques ; 

-completer la description de chacune desdites alertes par des ensembles 
de valeurs induites par les structures taxinomiques a partir des attributs 
values desdites alertes pour former des alertes completes ; 
-stacker lesdites alertes completes dans un systeme de fichiers logique 

20 (21) pour en permettre la consultation. 

2. Procede selon la revendication 1, caracterise en ce que la consultation 
des alertes completes est realisee par une succession d'interrogations 
et/ou de navigations dans lesdites alertes completes de sorte qu'en 

25 reponse a une requete, le systeme de gestion d'alertes (13) fournit des 
attributs values pertinents permettant de distinguer un sous-ensemble 
d'alertes completes parmi un ensemble d'alertes completes satisfaisant la 
requete afin de permettre le raffinement de ladite requete. 
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3.Procede selon la revendication 2, caracterise en ce que les attribute 
values pertinents sont en priorite les plus generaux au regard de la 
pluralite de structures taxinomiques. 

5 4.Procede selon I'une quelconque des revendications 2 et 3, caracterise en 
ce qu'en reponse a la requite, le systeme de gestion d'alertes (13) fournit 
en outre des identifiants d'alertes satisfaisant la requite et dont la 
description ne peut pas etre raffinee par rapport a ladite requite. 

10 5.Procede selon la revendication 1, caracterise en ce que I'identifiant 
d'alerte est un couple forme d'un identifiant de la sonde de detection 
d'intrusions (11a, lib, 11c) qui produit I'alerte et d'un numero de serie 
d'alerte affecte par ladite sonde. 

15 6.Procede selon la revendication 1, caracterise en ce que le contenu de 
chaque alerte comporte un message textuel fourni par la sonde de 
detection d'intrusions (11a, lib, 11c) correspondante. 

7. Procede selon I'une quelconque des revendications 1 a 6, caracterise en 
20 ce que chaque attribut value comporte un identifiant d'attribut et une 

valeur d'attribut. 

8. Procede selon la revendication 7, caracterise en ce que chaque 
identifiant d'attribut est associe a un domaine d'attributs parmi les 

25 domaines suivants : domaine de I'attaque, domaine de I'identite de 
I'attaquant, domaine de I'identite de la victime et domaine de la date de 
I'attaque. 

9. Procede selon la revendication 1, caracterise en ce que la description 
30 d'une alerte donnee est completee en recuperant a partir des relations de 
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generalisation de la pluralite de structures taxinomiques et de maniere 
recursive, un ensemble comportant les attributs values plus generaux et 
n'ayant pas deja ete presents dans la description d'une autre alette 
precedemment completee. 

lO.Procede selon I'une quelconque des revendications 1 a 9, caracterise 
en ce que les attributs values dans la structure taxinomique sont organises 
selon un graphe acyclique dirige. 



10 11. Programme informatique caracterise en ce qu'il est concu pour mettre 
en ceuvre le precede selon Tune quelconque des revendications 1 a 10 
lorsqu'il est execute par le systeme de gestion d'alertes (13). 
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